信息系統(tǒng)應(yīng)用控制審計(jì)（上）佚名【期刊名稱】《中國(guó)注冊(cè)會(huì)計(jì)師》【年（卷），期】2018（000）007【總頁(yè)數(shù)】3頁(yè)（P31-33）【正文語(yǔ)種】中文行業(yè)信息化專(zhuān)題在審計(jì)計(jì)劃階段，注冊(cè)會(huì)計(jì)師通過(guò)對(duì)擬依賴的信息系統(tǒng)應(yīng)用控制和數(shù)據(jù)進(jìn)行初步了解和識(shí)別，以輔助于審計(jì)范圍和審計(jì)計(jì)劃的確定。需要強(qiáng)調(diào)的是，信息系統(tǒng)應(yīng)用控制范圍的確定是一個(gè)由淺入深的過(guò)程，在審計(jì)初步計(jì)劃階段，注冊(cè)會(huì)計(jì)師獲取的只是應(yīng)用控制的初步范圍，詳細(xì)審計(jì)范圍的確定需要在詳細(xì)審計(jì)計(jì)劃階段和審計(jì)執(zhí)行初期，通過(guò)資深注冊(cè)會(huì)計(jì)師對(duì)各業(yè)務(wù)流程進(jìn)行端到端的了解過(guò)程才能逐步確定。因此，應(yīng)用控制審計(jì)是一個(gè)循序漸進(jìn)的過(guò)程，很難將審計(jì)計(jì)劃階段和執(zhí)行階段完全割裂開(kāi)來(lái)。隨著審計(jì)活動(dòng)的深入，審計(jì)范圍及計(jì)劃往往伴隨著修正和更新，以確保審計(jì)效果的優(yōu)化和效率的提升。一、應(yīng)用控制的類(lèi)型應(yīng)用控制（ApplicationControls）指的是企業(yè)內(nèi)部控制系統(tǒng)中與系統(tǒng)相關(guān)的業(yè)務(wù)層面控制。應(yīng)用控制具備以下兩方面的特征：（1） 應(yīng)用控制或多或少是在信息系統(tǒng)的參與下完成的；（2） 應(yīng)用控制是存在于業(yè)務(wù)流程或交易層面和過(guò)程中的內(nèi)部控制。常見(jiàn)的信息系統(tǒng)應(yīng)用控制包括以下幾種基本類(lèi)型：（1）自動(dòng)控制；（2）系統(tǒng)報(bào)表；（3）自動(dòng)計(jì)算；（4）訪問(wèn)控制；（5）系統(tǒng)接口。下面分別對(duì)這幾種應(yīng)用控制類(lèi)型進(jìn)行詳細(xì)解釋及闡述。（一） 自動(dòng)控制系統(tǒng)自動(dòng)控制是通過(guò)計(jì)算機(jī)應(yīng)用系統(tǒng)后臺(tái)邏輯或參數(shù)設(shè)置強(qiáng)制執(zhí)行的控制。系統(tǒng)自動(dòng)控制由于是系統(tǒng)自動(dòng)實(shí)現(xiàn)的，少有人為干預(yù)而具有高度的一致性和穩(wěn)定性。一旦設(shè)定成功，在系統(tǒng)沒(méi)有發(fā)生變更并且運(yùn)行維護(hù)正常的情況下，往往能持續(xù)地保證該功能和控制的正常有效運(yùn)行。例如，在采購(gòu)過(guò)程中的三單匹配控制。系統(tǒng)自動(dòng)進(jìn)行采購(gòu)、收貨和付款三單匹配操作，符合系統(tǒng)設(shè)定邏輯的匹配才能順利通過(guò)到下一步操作處理，否則系統(tǒng)提出警告生產(chǎn)例外數(shù)據(jù)報(bào)告或拒絕操作的下一步流轉(zhuǎn)。（二） 系統(tǒng)報(bào)表系統(tǒng)報(bào)表是指通過(guò)程序設(shè)定由系統(tǒng)自動(dòng)進(jìn)行信息歸集、邏輯處理和展示的符合一定邏輯的數(shù)據(jù)集合。系統(tǒng)報(bào)表可以通過(guò)前臺(tái)應(yīng)用界面或基于web的網(wǎng)頁(yè)進(jìn)行展示，也有部分企業(yè)的報(bào)表是通過(guò)批處理程序從后臺(tái)運(yùn)行得出的。這些報(bào)表通常被用于執(zhí)行手工控制或進(jìn)行下一步業(yè)務(wù)流程操作使用，從而直接或間接成為財(cái)務(wù)報(bào)表上數(shù)字的來(lái)源或支撐。例如，典型的系統(tǒng)報(bào)表是例外報(bào)告。對(duì)于順序編號(hào)的文檔，系統(tǒng)將丟失的或者重復(fù)的文件編號(hào)，自動(dòng)生成一份例外報(bào)告數(shù)據(jù)，用于后續(xù)手工跟進(jìn)解決。這里的例外報(bào)告就是一份系統(tǒng)生成報(bào)表。（三） 自動(dòng)計(jì)算系統(tǒng)自動(dòng)計(jì)算是指通過(guò)系統(tǒng)程序按照預(yù)先設(shè)定的邏輯由程序自動(dòng)完成的計(jì)算、分類(lèi)、預(yù)測(cè)等業(yè)務(wù)處理過(guò)程。自動(dòng)計(jì)算這一應(yīng)用控制的有效設(shè)計(jì)和運(yùn)行往往涉及到其他應(yīng)用控制（如自動(dòng)控制和訪問(wèn)控制）設(shè)計(jì)及運(yùn)行的有效性。注冊(cè)會(huì)計(jì)師在擬依賴相關(guān)計(jì)算的時(shí)候需要綜合考慮，防止某一環(huán)節(jié)的設(shè)計(jì)或運(yùn)行不當(dāng)導(dǎo)致自動(dòng)計(jì)算的失效。（四） 訪問(wèn)控制信息系統(tǒng)訪問(wèn)控制即保證系統(tǒng)由合適的人進(jìn)行合適的操作，從而確保系統(tǒng)按照設(shè)定的方式運(yùn)轉(zhuǎn)的應(yīng)用控制。讓合適的人對(duì)系統(tǒng)做合適的事就是我們所說(shuō)的訪問(wèn)控制。也就是說(shuō)，訪問(wèn)控制約束的是人和系統(tǒng)的交互。人與系統(tǒng)交互是通過(guò)一定的賬號(hào)和權(quán)限來(lái)實(shí)現(xiàn)的，因此這個(gè)過(guò)程需要通過(guò)系統(tǒng)賬號(hào)和權(quán)限設(shè)定來(lái)實(shí)現(xiàn)。要實(shí)現(xiàn)這樣的預(yù)期，實(shí)際上涉及到兩個(gè)層面的問(wèn)題：一是系統(tǒng)中權(quán)限的設(shè)計(jì)問(wèn)題。即系統(tǒng)的權(quán)限設(shè)計(jì)能幫助訪問(wèn)者正確實(shí)現(xiàn)操作功能。權(quán)限設(shè)計(jì)一般需要滿足以下條件：（1）實(shí)現(xiàn)必要的權(quán)限要素/單元的定義和分割，符合最小權(quán)限要素/單元原則。（2）權(quán)限設(shè)計(jì)正確，符合業(yè)務(wù)預(yù)期。（3）對(duì)相互沖突的權(quán)限進(jìn)行了職責(zé)分離。二是權(quán)限賦予問(wèn)題，即〃讓正確的人做正確的事”。權(quán)限賦予的正確性包括下列含義：（1）將正確的權(quán)限賦予給了正確的崗位以確保權(quán)限與崗位職責(zé)相符。（2）權(quán)限賦予要符合〃知所必需”的原則，防止賦予過(guò)多不必要的權(quán)限。（3）權(quán)限賦予實(shí)現(xiàn)了職責(zé)分離的要求，避免將沖突權(quán)限賦予給同一個(gè)賬號(hào)。（五） 系統(tǒng)接口系統(tǒng)接口是系統(tǒng)之間的信息交互渠道。數(shù)據(jù)從源系統(tǒng)通過(guò)一定的通道（如應(yīng)用系統(tǒng)層、數(shù)據(jù)庫(kù)層、操作系統(tǒng)層和網(wǎng)絡(luò)層等）流轉(zhuǎn)到目標(biāo)系統(tǒng)，這個(gè)過(guò)程就是系統(tǒng)接口實(shí)現(xiàn)的功能。如果把系統(tǒng)比喻成城市的話，系統(tǒng)接口就相當(dāng)于城市之間的道路、橋梁等交通基礎(chǔ)設(shè)施，幫助各個(gè)城市間的資源流轉(zhuǎn)和交互。在信息技術(shù)高速發(fā)展的今天，一個(gè)企業(yè)只使用一個(gè)單一的信息系統(tǒng)，即所謂的信息孤島的情形已經(jīng)比較少見(jiàn)，取而代之的是各種高內(nèi)聚，低耦合的不同系統(tǒng)在企業(yè)運(yùn)營(yíng)的中高頻次進(jìn)行著各種實(shí)時(shí)、半實(shí)時(shí)或定時(shí)的信息交互，對(duì)實(shí)現(xiàn)信息的增值和企業(yè)正常高效運(yùn)作起到的至關(guān)重要的作用。如何保證系統(tǒng)接口傳遞的信息/數(shù)據(jù)的準(zhǔn)確性和完整性，自然成為了企業(yè)管理者和注冊(cè)會(huì)計(jì)師要考慮的一個(gè)重要議題。以上就是應(yīng)用控制的5種基本類(lèi)型。接下來(lái)，我們將進(jìn)一步闡述應(yīng)用控制能實(shí)現(xiàn)哪些信息處理目標(biāo)，這些目標(biāo)與財(cái)務(wù)報(bào)表認(rèn)定之間存在何種關(guān)系的問(wèn)題。二、信息處理目標(biāo)信息處理目標(biāo)(Informationprocessingobjectives)是一套與控制相關(guān)的管理層目標(biāo)體系。這一套目標(biāo)體系為業(yè)務(wù)層面控制活動(dòng)設(shè)計(jì)有效性的評(píng)估提供了有用的框架。對(duì)于各個(gè)業(yè)務(wù)流程及相關(guān)的交易流而言，控制活動(dòng)的設(shè)計(jì)和執(zhí)行需要能確保經(jīng)授權(quán)的交易被準(zhǔn)確完整地記錄和處理，并且一旦記錄處理完成，能避免被非授權(quán)地修改，如此才能達(dá)到業(yè)務(wù)按管理層預(yù)期方式運(yùn)行的效果。表1信息處理目標(biāo)具體闡述完整性(Completeness，簡(jiǎn)稱6目標(biāo)所有發(fā)生的交易都在合適的期間被錄入和處理一次，且僅一次。例如：重復(fù)的日記賬被識(shí)別且拒絕；所有的異常/拒絕都被處理和解決了。表2完整性常見(jiàn)控制技術(shù)舉例具體闡述控制技術(shù)表3準(zhǔn)確性常見(jiàn)控制技術(shù)舉例具體闡述控制技術(shù)表4有效性常見(jiàn)控制技術(shù)舉例控制技術(shù)每筆交易的有效性都經(jīng)過(guò)了適當(dāng)?shù)墓芾砣藛T人工復(fù)核和審批。復(fù)核和審批都通過(guò)手工進(jìn)行記錄。應(yīng)用授權(quán)(ApplicationSecurityAuthorization)每筆交易都需要經(jīng)過(guò)授權(quán)的人員錄入或?qū)徟Ｗ詣?dòng)有效性檢查(ProgrammedValidityChecks)具體闡述人工授權(quán)(ManualAuthorization)應(yīng)用系統(tǒng)可以自動(dòng)檢查交易的有效性。例如，三單匹配自動(dòng)控制能自動(dòng)拒絕不能匹配上收貨或采購(gòu)訂單的付款。由于信息處理目標(biāo)是業(yè)務(wù)層面交易控制目標(biāo)，因此，這套目標(biāo)僅適用于業(yè)務(wù)層面的控制活動(dòng)。在系統(tǒng)審計(jì)中，信息處理目標(biāo)與應(yīng)用控制相關(guān)。由于信息系統(tǒng)一般控制活動(dòng)不是業(yè)務(wù)流程或交易層面的控制，因此，信息處理目標(biāo)與信息系統(tǒng)一般控制不相關(guān)。（一） 信息處理具體目標(biāo)具體而言，信息處理目標(biāo)可以概括為四個(gè)目標(biāo)（如表1所示）。對(duì)于四個(gè)信息處理目標(biāo)（CAVR），企業(yè)有一些常見(jiàn)的控制技術(shù)來(lái)確保相關(guān)信息處理目標(biāo)的實(shí)現(xiàn)。下面，分別進(jìn)行舉例。完整性常見(jiàn)控制技術(shù)舉例（如表2所示）。需要說(shuō)明的是，完整性相關(guān)的這些控制技術(shù)需要管理層及時(shí)復(fù)核并跟進(jìn)異常情況，以確?？刂茍?zhí)行的有效性。準(zhǔn)確性常見(jiàn)控制技術(shù)舉例（如表3所示）。在很多完整性控制技術(shù)中，這些控制技術(shù)在提供完整性保證的同時(shí)，也提供了準(zhǔn)確性。例如，批量匯總，自動(dòng)匹配，逐一檢查等。有效性常見(jiàn)控制技術(shù)舉例（如表4所示）。訪問(wèn)限制常見(jiàn)控制技術(shù)舉例（如表5所示）。（二） 信息處理目標(biāo)的應(yīng)用當(dāng)注冊(cè)會(huì)計(jì)師計(jì)劃依賴財(cái)務(wù)報(bào)表業(yè)務(wù)流程中的相關(guān)控制的時(shí)候，簡(jiǎn)單的識(shí)別和測(cè)試與信息處理目標(biāo)中的某一個(gè)特定目標(biāo)相關(guān)的控制活動(dòng)是不夠的，注冊(cè)會(huì)計(jì)師需要確保在這個(gè)業(yè)務(wù)流程或子流程中，四個(gè)信息處理目標(biāo)都需要被達(dá)成。如果在信息處理的某一個(gè)階段，某一信息處理目標(biāo)沒(méi)有被實(shí)現(xiàn)，那么在后續(xù)的業(yè)務(wù)過(guò)程中產(chǎn)生的數(shù)據(jù)和信息可能是不可靠的。這些數(shù)據(jù)和信息可能反映的是沒(méi)有發(fā)生的、不完整的、或者是邏輯不準(zhǔn)確的交易和事件，也可能反映的是不存在的資產(chǎn)或負(fù)債?？刂萍夹g(shù)具體闡述管理層定期核對(duì)文件總數(shù)與獨(dú)立維護(hù)的控制總數(shù)以確保沒(méi)有發(fā)生未經(jīng)授權(quán)的修改?？刂瓶倲?shù)可能是手工維護(hù)的一個(gè)清單，例如，手工記錄的總賬中的AR余額與AR系統(tǒng)中的應(yīng)收金額的比對(duì)。例外報(bào)告（ExceptionReport）數(shù)據(jù)安全（DataSecurity）大部分的業(yè)務(wù)數(shù)據(jù)都儲(chǔ)存在一定的數(shù)據(jù)環(huán)境中（如數(shù)據(jù)文件，數(shù)據(jù)庫(kù)或云)。一般而言，數(shù)據(jù)安全作為系統(tǒng)一般控制的一部分進(jìn)行測(cè)試，但是，注冊(cè)會(huì)計(jì)師需要注意將一般控制測(cè)試的內(nèi)容與特定業(yè)務(wù)目的數(shù)據(jù)安全進(jìn)行關(guān)聯(lián)，以確保特定數(shù)據(jù)的訪問(wèn)安全。文件核對(duì)(FileReconciliations)例夕卜報(bào)告在完整性，準(zhǔn)確性中都有廣泛使用，這一控制技術(shù)在訪問(wèn)限制中也可以被使用。例如，一份主數(shù)據(jù)修改的報(bào)告可以被用于管理層復(fù)核，以便于確認(rèn)主數(shù)據(jù)的沒(méi)有被非授權(quán)的修改。信息處理目標(biāo)財(cái)務(wù)報(bào)表認(rèn)定完整性(Completeness)完整性，截止，存在和發(fā)生，分類(lèi)準(zhǔn)確性(Accuracy)準(zhǔn)確性，計(jì)價(jià)和分?jǐn)傆行?Validity)存在和發(fā)生，權(quán)利和義務(wù)訪問(wèn)限制(RestrictAccess)除了權(quán)利和義務(wù)以外，可能大部分相關(guān)注冊(cè)會(huì)計(jì)師需要考慮驗(yàn)證交易的有效性；數(shù)據(jù)錄入和處理的完整性和準(zhǔn)確性；在錄入、處理和記錄過(guò)程中的訪問(wèn)限制。評(píng)估實(shí)現(xiàn)某一信息處理目標(biāo)的控制活動(dòng)缺失是否可能造成的財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)?！┳?cè)會(huì)計(jì)師認(rèn)定控制活動(dòng)的設(shè)計(jì)可以合理應(yīng)對(duì)相關(guān)的風(fēng)險(xiǎn)且控制被執(zhí)行，注冊(cè)會(huì)計(jì)師就可以選擇業(yè)務(wù)層面的相關(guān)控制以測(cè)試其運(yùn)行有效性，并考慮這些控制能為哪些財(cái)務(wù)報(bào)表認(rèn)定提供審計(jì)證據(jù)了。信息處理目標(biāo)與財(cái)務(wù)報(bào)表認(rèn)定的關(guān)系信息處理目標(biāo)對(duì)財(cái)務(wù)報(bào)表的認(rèn)定實(shí)現(xiàn)是至關(guān)重要的。如果保證信息處理目標(biāo)的控制活動(dòng)是有效的，注冊(cè)會(huì)計(jì)師需要判斷這些控制活動(dòng)能為哪些財(cái)務(wù)報(bào)表認(rèn)定提供審計(jì)證據(jù)。與控制活動(dòng)與財(cái)務(wù)報(bào)表認(rèn)定的關(guān)系類(lèi)似，一個(gè)控制活動(dòng)可能可以實(shí)現(xiàn)多個(gè)信息處理目標(biāo)，一個(gè)信息處理目標(biāo)也可能由多個(gè)控制活動(dòng)來(lái)實(shí)現(xiàn)。那么，信息處理目標(biāo)與財(cái)務(wù)報(bào)表認(rèn)定之間是什么關(guān)系呢？盡管信息處理目標(biāo)看上去和財(cái)務(wù)報(bào)表認(rèn)定很類(lèi)似，但是他們之間不是一對(duì)一的關(guān)系，而且這兩套體系的使用目的是不同的。信息處理目標(biāo)是用于評(píng)估控制活動(dòng)設(shè)計(jì)的有效性，特別是業(yè)務(wù)流程中的應(yīng)用控制。而財(cái)務(wù)報(bào)表認(rèn)定是用于管理層對(duì)于財(cái)務(wù)報(bào)表公允表達(dá)的陳述。表6列式了信息處理目標(biāo)和財(cái)務(wù)報(bào)表認(rèn)定之間的對(duì)